Wenn Schulen Fotos von Kindern digital verwalten, stellt sich eine zentrale Frage: Wo werden diese Daten gespeichert — und wer kann darauf zugreifen? Seit dem wegweisenden Schrems-II-Urteil des Europäischen Gerichtshofs im Juli 2020 ist klar: Der Transfer personenbezogener Daten in die USA ist mit erheblichen rechtlichen Risiken verbunden. Für Schulen, die mit besonders schützenswerten Daten von Minderjährigen arbeiten, ist deutsches Hosting nicht nur eine Empfehlung — es ist eine Notwendigkeit.
Dieser Artikel erklärt die rechtlichen Hintergründe, zeigt die konkreten Risiken von US-Cloud-Anbietern auf und beschreibt, wie eine DSGVO-konforme Infrastruktur für Schulfotos aussieht.
Schrems II & Privacy Shield — Was geschah und warum es Schulen betrifft
Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) im sogenannten Schrems-II-Urteil (Rechtssache C-311/18) das EU-US Privacy Shield für ungültig. Dieses Abkommen hatte seit 2016 als Rechtsgrundlage für den Datentransfer zwischen der EU und den USA gedient.
Kernaussagen des EuGH:
- Privacy Shield bietet keinen gleichwertigen Schutz: US-Überwachungsgesetze (insbesondere Section 702 FISA und Executive Order 12333) erlauben US-Geheimdiensten weitreichenden Zugriff auf Daten von EU-Bürgern.
- Kein wirksamer Rechtsschutz: EU-Bürger haben in den USA keine effektiven Rechtsmittel gegen staatliche Überwachung.
- Standardvertragsklauseln (SCCs) reichen allein nicht aus: Sie müssen durch zusätzliche technische und organisatorische Maßnahmen ergänzt werden.
Für Schulen hat dieses Urteil weitreichende Konsequenzen: Wer Fotos von Kindern bei einem US-Cloud-Anbieter speichert, riskiert einen DSGVO-Verstoß — selbst wenn der Anbieter ein EU-Rechenzentrum betreibt.
Hinweis zum EU-US Data Privacy Framework (2023)
Im Juli 2023 wurde mit dem EU-US Data Privacy Framework (DPF) ein Nachfolger des Privacy Shield eingeführt. Doch Datenschutzexperten warnen: Das DPF löst die grundlegenden Probleme nicht und könnte wie seine Vorgänger (Safe Harbor 2015, Privacy Shield 2020) vom EuGH gekippt werden. Mehrere Landesdatenschutzbehörden empfehlen für sensible Daten von Minderjährigen weiterhin europäisches Hosting.
DSGVO Art. 44-49 — Internationale Datentransfers
Die DSGVO regelt in Kapitel V (Artikel 44 bis 49) die Übermittlung personenbezogener Daten in Drittländer. Für Schulen sind diese Regeln besonders relevant, da Kinderfotos als besonders schützenswerte Daten gelten.
Art. 44 — Allgemeine Grundsätze
Jede Übermittlung personenbezogener Daten in ein Drittland darf nur erfolgen, wenn die Bedingungen der DSGVO eingehalten werden. Der Schutz darf durch den Transfer nicht untergraben werden.
Art. 45 — Angemessenheitsbeschluss
Die EU-Kommission kann feststellen, dass ein Drittland ein angemessenes Schutzniveau bietet. Für die USA existiert seit 2023 das DPF — dessen Beständigkeit aber unsicher ist.
Art. 46 — Geeignete Garantien
Ohne Angemessenheitsbeschluss sind Standardvertragsklauseln (SCCs) oder verbindliche interne Datenschutzvorschriften (BCRs) erforderlich — jeweils ergänzt durch eine Einzelfallprüfung (Transfer Impact Assessment).
Art. 49 — Ausnahmen
Ausnahmeregelungen (z.B. ausdrückliche Einwilligung) sind eng auszulegen und für den regelmäßigen Betrieb einer Schulplattform in der Regel nicht anwendbar.
Fazit: Der einfachste und sicherste Weg, diese Anforderungen zu erfüllen, ist die Speicherung aller Daten auf Servern innerhalb Deutschlands bei einem deutschen Anbieter. Damit entfällt die gesamte Drittlandtransfer-Problematik.
Warum US-Cloud-Anbieter problematisch sind
Viele Schulen nutzen — oft unbewusst — US-Cloud-Dienste für Fotos und Dokumente. Die folgenden Anbieter und Dienste sind aus Datenschutzsicht für Schulfotos problematisch:
Google Drive / Google Workspace for Education
US-Mutterkonzern Alphabet unterliegt dem CLOUD Act. Auch bei EU-Rechenzentren können US-Behörden Datenzugriff verlangen. Mehrere deutsche Landesdatenschutzbehörden haben den Einsatz von Google Workspace an Schulen bereits kritisch bewertet oder untersagt.
Apple iCloud
Apple Inc. ist ein US-Unternehmen und unterliegt dem CLOUD Act. Daten können auf US-Servern gespeichert oder dorthin repliziert werden. Keine transparente Kontrolle über den Speicherort.
Amazon Web Services (AWS)
Auch mit EU-Region (Frankfurt) bleibt Amazon.com Inc. dem CLOUD Act unterworfen. Zudem nutzen viele Schulplattformen AWS im Hintergrund, ohne dass die Schule dies weiß.
Microsoft Azure / OneDrive
Microsoft hat zwar eine "EU Data Boundary"-Initiative, bleibt aber ein US-Unternehmen unter CLOUD Act. Für Schulfotos von Minderjährigen ein vermeidbares Risiko.
Dropbox
US-Unternehmen mit Servern primär in den USA. Keine granulare Zugriffskontrolle für einzelne Eltern. Daten können per Link-Sharing unkontrolliert weitergegeben werden.
Der CLOUD Act — das zentrale Problem
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) von 2018 verpflichtet US-Unternehmen, Daten auf Anfrage von US-Behörden herauszugeben — unabhängig davon, wo die Daten physisch gespeichert sind. Ein Google-Server in Frankfurt oder ein AWS-Rechenzentrum in Irland schützt nicht vor US-Behördenzugriff. Für Fotos von Schulkindern ist dieses Risiko inakzeptabel.
Deutsches Hosting als Lösung
Die sicherste Lösung für Schulen ist die Speicherung aller Daten auf Servern in Deutschland, betrieben von einem Unternehmen mit Sitz in Deutschland. Das bietet gleich mehrere Vorteile:
Kein Drittlandtransfer
Daten verlassen Deutschland nie. Art. 44-49 DSGVO sind nicht anwendbar, da kein Drittlandtransfer stattfindet.
Kein CLOUD Act
Deutsche Unternehmen unterliegen nicht dem CLOUD Act. US-Behörden haben keinen Rechtsanspruch auf Herausgabe.
BDSG-Schutz
Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO mit zusätzlichen nationalen Schutzvorschriften, insbesondere für Minderjährige.
Deutsche Gerichtsbarkeit
Im Streitfall gelten deutsches Recht und deutsche Gerichte. Keine komplexen internationalen Rechtsstreitigkeiten.
Transparenz
Der physische Standort der Daten ist bekannt und überprüfbar. Keine versteckte Replikation in andere Länder.
Aufsichtsbehörde
Der zuständige Landesdatenschutzbeauftragte kann den Anbieter direkt prüfen und regulieren.
KinderAlbum Infrastruktur — Technischer Überblick
KinderAlbum wurde von Grund auf so konzipiert, dass alle Daten in Deutschland bleiben. Hier ist unsere vollständige Infrastruktur im Detail:
Hetzner Online GmbH — Dedicated Server
Standort: Gunzenhausen / Nürnberg, Bayern
Alle Anwendungsserver laufen auf dedizierten Servern bei Hetzner Online GmbH, einem deutschen Unternehmen mit Sitz in Gunzenhausen. Die Rechenzentren sind ISO 27001 zertifiziert und befinden sich ausschließlich in Deutschland (Nürnberg, Falkenstein). Hetzner ist kein US-Tochterunternehmen und unterliegt nicht dem CLOUD Act.
Hetzner S3-kompatibler Objektspeicher — Fotospeicherung
Standort: Deutschland (Hetzner Cloud)
Sämtliche Schulfotos werden im S3-kompatiblen Objektspeicher von Hetzner gespeichert. Dieser Speicher befindet sich physisch in Deutschland und ist vollständig von US-Cloud-Diensten unabhängig. Die Fotos werden verschlüsselt übertragen (TLS 1.3) und mit zugriffskontrollierten URLs ausgeliefert. Kein Foto verlässt jemals die deutschen Hetzner-Rechenzentren.
Self-hosted Supabase (PostgreSQL) — Datenbank
Standort: Hetzner Deutschland, selbst betrieben
Die gesamte Datenbank läuft als selbst gehostete PostgreSQL-Instanz auf unseren Hetzner-Servern. Wir nutzen keine externe Datenbank-as-a-Service-Plattform. Die Datenbank enthält alle Nutzerdaten, Einwilligungen, Audit-Logs und Metadaten zu Fotos. Durch Self-Hosting haben wir die volle Kontrolle über Datenzugriff, Backups und Verschlüsselung.
Sicherheitsfeatures:
- Row-Level Security (RLS) — Daten sind auf Datenbankebene pro Schule isoliert
- Verschlüsselte Verbindungen zwischen Anwendung und Datenbank
- Regelmäßige automatische Backups auf deutschen Servern
- Kein Zugriff für Drittanbieter auf die Datenbank
Amazon SES (EU-Region) — Nur E-Mail-Versand
Region: eu-central-1 (Frankfurt) / eu-west-1 (Irland)
Für den Versand von Benachrichtigungs-E-Mails (Einladungen, Passwort-Resets) nutzen wir Amazon SES in der EU-Region. Dies ist der einzige Dienst mit US-Mutterkonzern in unserer Infrastruktur.
Wichtige Einschränkung:
- Amazon SES erhält keine Fotodaten — ausschließlich E-Mail-Adressen und Nachrichteninhalte
- Keine Kinderfotos, keine Schülerdaten, keine Einwilligungsinformationen
- E-Mails enthalten nur Links zur Plattform, keine eingebetteten Bilder
- Der Dienst ist über eine AVV mit Amazon abgesichert
TLS 1.3 Verschlüsselung
Alle Datenübertragungen zwischen Browser und Server, zwischen Server und Datenbank sowie zwischen Server und Objektspeicher erfolgen verschlüsselt über TLS 1.3. Dies stellt sicher, dass Fotos und personenbezogene Daten während der Übertragung nicht abgefangen werden können.
Automatische Datenlöschung
Bei Konto-Löschung oder Widerruf der Einwilligung werden alle zugehörigen Daten automatisch aus der Datenbank und dem Objektspeicher entfernt. Dies umfasst Fotos, Metadaten und Nutzerdaten. Die Löschung ist vollständig und irreversibel — es werden keine Schattenkopien oder Backups über den regulären Aufbewahrungszeitraum hinaus vorgehalten.
Auftragsverarbeitungsvereinbarung (AVV)
Eine Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO ist ein verpflichtender Vertrag zwischen der Schule als Verantwortlichem und jedem Dienstleister, der personenbezogene Daten im Auftrag verarbeitet. Ohne AVV ist die Nutzung einer Schulplattform für Fotos rechtswidrig.
Eine AVV muss mindestens regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Datenverarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten
- Unterauftragnehmer — welche Dienstleister ebenfalls Daten verarbeiten
- Löschpflichten nach Beendigung der Verarbeitung
- Kontrollrechte des Verantwortlichen (Audits)
Schulen benötigen AVVs nicht nur mit ihrer Foto-Plattform, sondern auch mit Fotografen, die digital arbeiten, sowie mit allen weiteren Dienstleistern, die Zugang zu Schülerdaten haben.
Checkliste: Hosting-Anforderungen für Schulen
Nutzen Sie diese Checkliste, um zu prüfen, ob Ihre aktuelle Lösung für Schulfotos die Hosting-Anforderungen der DSGVO erfüllt:
Serverstandort in Deutschland oder EU
Alle Server, auf denen Fotos und Daten gespeichert werden, stehen physisch in Deutschland oder der EU.
Anbieter mit Firmensitz in Deutschland/EU
Der Hosting-Anbieter hat seinen Hauptsitz in Deutschland oder der EU und unterliegt nicht dem CLOUD Act.
Auftragsverarbeitungsvereinbarung (AVV) vorhanden
Es besteht eine AVV nach Art. 28 DSGVO mit dem Plattformanbieter und allen Unterauftragsverarbeitern.
Verschlüsselung bei Übertragung und Speicherung
Alle Daten werden verschlüsselt übertragen (TLS 1.2+) und idealerweise auch verschlüsselt gespeichert.
Keine Datenreplikation in Drittstaaten
Daten werden nicht automatisch in Länder außerhalb der EU repliziert, gesichert oder synchronisiert.
Zugriffskontrolle und Audit-Logging
Nur berechtigte Personen können auf Daten zugreifen. Alle Zugriffe werden protokolliert.
Löschkonzept vorhanden
Es gibt ein dokumentiertes Verfahren zur Datenlöschung bei Widerruf, Vertragsende oder auf Anfrage.
Transparente Unterauftragnehmer
Alle eingesetzten Unterauftragnehmer sind dokumentiert, mit Angabe von Standort und Zweck der Datenverarbeitung.
Häufig gestellte Fragen
Dürfen Schulen US-Cloud-Dienste wie Google Drive oder iCloud für Schulfotos nutzen?
Nein, nach dem Schrems-II-Urteil des EuGH (2020) ist die Übermittlung personenbezogener Daten in die USA ohne zusätzliche Schutzmaßnahmen unzulässig. Schulfotos enthalten biometrische Daten von Minderjährigen und unterliegen besonderem Schutz. Selbst mit Standardvertragsklauseln bleibt das Risiko des Zugriffs durch US-Behörden über den CLOUD Act bestehen.
Reicht ein EU-Rechenzentrum eines US-Anbieters aus?
Nicht unbedingt. Auch wenn ein US-Anbieter wie AWS oder Microsoft Azure ein Rechenzentrum in der EU betreibt, unterliegt das US-Mutterunternehmen dem CLOUD Act. US-Behörden können den Zugriff auf Daten verlangen, unabhängig davon, wo die Server physisch stehen. Für Schulfotos von Minderjährigen empfehlen Datenschutzbehörden daher Anbieter mit ausschließlich deutschem oder europäischem Firmensitz.
Was ist eine Auftragsverarbeitungsvereinbarung (AVV) und braucht meine Schule eine?
Eine AVV nach Art. 28 DSGVO ist ein Vertrag zwischen der Schule (Verantwortlicher) und jedem Dienstleister, der personenbezogene Daten verarbeitet (Auftragsverarbeiter). Ja, Ihre Schule braucht eine AVV mit jedem Anbieter, der Schulfotos speichert, verarbeitet oder überträgt — also auch mit Ihrer Foto-Plattform, dem Hosting-Anbieter und ggf. dem Fotografen.
Was bedeutet Datensouveränität im Schulkontext?
Datensouveränität bedeutet, dass die Schule jederzeit die volle Kontrolle über die Daten ihrer Schüler behält. Das umfasst: Wissen, wo die Daten gespeichert sind, wer darauf Zugriff hat, die Möglichkeit zur sofortigen Löschung und die Garantie, dass keine Drittstaaten auf die Daten zugreifen können. Deutsches Hosting bei einem deutschen Anbieter ist der sicherste Weg, Datensouveränität zu gewährleisten.
Wie stellt KinderAlbum sicher, dass keine Daten Deutschland verlassen?
KinderAlbum nutzt ausschließlich Hetzner Online GmbH mit Rechenzentren in Gunzenhausen und Nürnberg für Server und S3-kompatiblen Objektspeicher. Die Datenbank (PostgreSQL) wird self-hosted auf Hetzner-Servern betrieben. Einzige Ausnahme: E-Mail-Versand über Amazon SES in der EU-Region Frankfurt/Luxemburg — hierbei werden jedoch keine Fotodaten übertragen, sondern nur Benachrichtigungen.
Gilt das EU-US Data Privacy Framework als ausreichender Schutz für Schulfotos?
Das EU-US Data Privacy Framework (DPF) von 2023 ermöglicht zwar Datentransfers an zertifizierte US-Unternehmen, doch Datenschutzexperten und mehrere Landesdatenschutzbehörden empfehlen für sensible Daten von Minderjährigen weiterhin europäisches Hosting. Das DPF könnte — wie zuvor Privacy Shield — vom EuGH gekippt werden. Für Schulen ist deutsches Hosting die rechtssichere Wahl.
Schulfotos sicher auf deutschen Servern
KinderAlbum speichert alle Fotos und Daten ausschließlich auf Hetzner-Servern in Deutschland. Kein CLOUD Act, kein Drittlandtransfer, volle DSGVO-Konformität.